入侵事件中分段网络密码重置

Question

考虑到网络分段，如何定义在出现漏洞时重置哪些密码的范围？

更改与受威胁系统位于同一网络的所有计算机上所有帐户的所有密码。不是真的。所有账户。所有的电脑。是的，你是对的，这可能是过分的；另一方面，它可能不是。

背景：

在为我的日常工作编写事件响应计划时，我向如何处理受威胁的服务器？咨询了一些关于什么时候应该发生什么的想法。我正在使用使用范围界定工具包定义的分段网络。我的设置涉及非域和应用内部分段的域。

Answer 1

我建议考虑两个方面，这取决于你的敏感程度(我最初在那里写了“偏执症”，但我认为，关于衡量你的反应水平和做得不够的后果，有一点是有道理的)。

我个人认为任何Windows域(*其他集中式帐户管理服务，假设我也在谈论它们)，受害者是有嫌疑的。虽然它们现在不太流行，但过去也有过攻击，使用捕获的“域用户”帐户对域进行身份验证，并充当危及域管理帐户的起点。

我担心的另一个领域是，您可能在您的集中身份验证机制之外有一个系统，但是用户有重复使用帐户的详细信息。一旦您从一个源收集了用户名/密码组合，那么将该组合返回到所有其他系统以查看它是否有效是非常简单的。

最后，不要忘记任何被破坏的服务器连接到使用隐藏在代码本身中的凭据的系统(例如，数据库连接等)。

如果您正在使用范围工具箱中使用的分段定义，例如完全隔离，那么您可以合理地确定攻击没有跨越这些边界。那实际上是个很好的起点。在很多方面，通过提前解决问题，你已经在游戏中遥遥领先了--我把你提到的问题写成了一个指南，供那些没有提前计划的人参考。

Answer 2

我的解释是，所有连接到入侵发生地点的网络都在您的管理控制之下，并且是通过ip连接连接的。IP连接要么意味着不受限制，要么被防火墙规则所允许。本质上，任何可能的网络，攻击者可以支点/从。